Vo webovom rámci Grails bola identifikovaná zraniteľnosť, navrhnutá na vývoj webových aplikácií v súlade s paradigmou MVC v jazyku Java, Groovy a ďalších jazykoch pre JVM, ktorá vám umožňuje vzdialene spúšťať váš kód v prostredí, v ktorom je web aplikácia je spustená. Zraniteľnosť sa zneužije odoslaním špeciálne navrhnutej požiadavky, ktorá útočníkovi poskytne prístup k ClassLoader. Problém je spôsobený chybou v logike dátového viazania, ktorá sa používa pri vytváraní objektov aj pri manuálnom viazaní pomocou bindData. Problém bol opravený vo vydaniach 3.3.15, 4.1.1, 5.1.9 a 5.2.1.
Okrem toho môžeme zaznamenať zraniteľnosť v module tzinfo Ruby, ktorý umožňuje načítanie obsahu ľubovoľného súboru, pokiaľ to umožňujú prístupové práva napadnutej aplikácie. Zraniteľnosť súvisí s nedostatočnou kontrolou použitia špeciálnych znakov v názve časovej zóny špecifikovanom v metóde TZInfo::Timezone.get. Problém sa týka aplikácií, ktoré odovzdávajú neoverené externé údaje do TZInfo::Timezone.get. Ak chcete napríklad prečítať súbor /tmp/payload, môžete zadať hodnotu ako "foo\n/../../../tmp/payload".
Zdroj: opennet.ru